用于进行安全的信号操纵的方法和系统与流程

本发明涉及一种用于为了测试集成的安全功能性而进行安全的信号操纵的方法。本发明还涉及一种用于为了测试集成的安全功能性而进行安全的信号操纵的系统。

背景技术：

几乎所有在现代机动车中在行驶运行中出现的控制和调节任务在使用基于软件的、大多电子的车辆组件或系统的情况下被实施。对于由这些组件或系统在典型的行驶运行中承担的任务的范围（bandbreite）来说示例性地应只提到：一方面在有迎面车流时的自动的弱光照明（abblenden）而另一方面利用多个辅助系统进行高自动化驾驶，其中在通过这些系统的完全控制下对行驶环境进行监控。

因此，在现代机动车中，软件不仅有助于驾驶员的舒适性改善，而且也提供了对避免事故和保护乘客的重要贡献。

就这方面来说，随着朝着自主行驶或无驾驶员行驶的最新发展而不仅仅出现：在机动车中增多地使用到基于软件的组件，而是因此而出现：这种系统占总车辆成本的成本份额的增加。实际上，该发展尤其是也通过对现有的软件解决方案的定性的如下的继续发展来被确定，其中，已经仅仅从在部分自主行驶中就已经要考虑的问题的数目和复杂性中就得出这种继续发展。因此，在真实的行驶运行中是否能掌控这些问题以及能以何种程度来掌控这些问题因此主要取决于：分别参与的辅助系统的没有错误的共同作用并且因此取决于每个单独的被使用的组件软件的无缺陷性。

尤其是，还应考虑安全方面，这些安全方面能够尽可能可靠地防止对所使用的车辆组件的未经授权的访问。

借此，在现代机动车中，不仅每个基于软件的单个组件本身都必须满足关于其功能安全性方面的高要求。同样，在系统网络中的所有这样的组件都必须可靠地满足对高功能安全性的要求。

这应通过所有车辆组件的适当的功能测试来证明。在此，以公知的方式给分别所要检查的软件加载（beaufschlagen）适当的测试信号并且分析系统反应。与在现代机动车中的这样的系统组件的大数目相对应地，这种测试不仅是耗费的，它们也是成本密集的。

例如在用于在机动车中的安全相关的电系统或电子系统的iso标准26262中，根据多层概念（第1层——系统层，第2层——硬件层，第3层——软件层）来调节对用于安全功能的验证和生效的测试的执行。然后，应鉴于在行驶运行中的严重程度（severity（严重性））、危险程度（exposure（暴露率））和可掌控性（controllability（可控性））方面来分析每种功能失效并且给其分配总共五个相对应的危险等级qm、asila、asilb、asilc、asild之一，其中asild表示最高的危险等级而qm表示最低的危险等级（asil–（汽车安全完整性等级），qm–qualitymanagement（质量管理））。由此出发，接着设置在该标准下详细地提及的补救措施。

在该基础上在测试方案中借助于具有集成的信号操纵的单独软件（错误接入软件（fehleraufschaltsoftware））来进行安全功能的验证和生效。为此，该错误接入软件引起（provozieren）在所要测试的系统组件的第1层上的功能失效，以便证明第2层的安全功能识别出该功能失效并且采取相对应的措施。

通常，在使用该特殊软件的情况下来进行系统组件的发布并且因此针对如下软件版本（sofwarestand）来进行系统组件的发布，该软件版本并不相应于应获得相对应的发布推荐的系列软件版本。

就这方面来说，这两个提到的软件版本的区别总是在于对于信号操纵而言附加地引入的功能性。因为该附加的软件功能性没有单独被监控，所以该附加的软件功能性构成潜在的安全风险。

根据现有技术，该错误接入软件通常集成在系列软件中，使得在系列产品中也随时可能对相应的安全功能进行验证和生效。在此，为了防止在行驶运行中对操纵功能的不经意的触发，必须提供适当的保护措施。与在验证系统组件的安全功能并且使系统组件的安全功能生效时所使用的测试方法的类型无关地需要这些保护措施，并且因此不仅在根据具有已知的多层概念的iso标准26262的测试中需要这些保护措施，而且在替选的测试中需要这些保护措施，这些替选的测试已借助于有资格的工具、诸如具有经认证的编译器的scade来开发。

不过，并不能利用这些保护措施来保证：不能在对所集成的错误接入软件的周期性执行期间进行不容许的操纵。相反，必须做出附加的预防措施。

在系列软件中实现的错误接入功能（fehleraufschaltfunktion）还需要以应提供（vorhalten）的存储空间和运行时间的形式的附加资源。

此外，对于必须针对不同的测试利用在系列软件中实现的错误接入功能来操纵的每种信号，都应提供相对应的干预。

如果应该利用在系列软件中实现的错误接入功能来执行具有更复杂的信号波形的测试，则必须将相对应的信号发生器、比如针对斜坡形波形、正弦函数或三角函数的信号发生器以及相关参量的计算保存（hinterlegen）在目标系统中。此外，应针对这样的测试提供相对应数目的应用参数，这些应用参数必须被管理、被测试并且被记录（dokumentieren）。

在具有所实现的错误接入软件的基于软件的单个组件的每次按照规定的应用时，都必须可靠地防止在行驶运行中对错误接入功能的不经意的激活。为此，应设置适当的基本数据采集（grundbedatung）和文档编制（dokumentation）。

为了降低误操作的风险和/或专有技术保护（know-how-schutz）的目的，按具体情况也可能需要：对基于软件的单个组件的用户隐藏由错误接入软件所检测的数据。为此所采取的针对数据锁定（datenverriegelung）的措施也接受根据iso标准26262的规定并且在每种单个情况下都必须被考虑，以便排除对相应的组件的功能安全性的危害。

从现有技术公知不同的方法，利用这些方法可以根据控制信号来检查车辆的安全功能。

为此示例性地应提到de102012215343a1。然后，依据诊断测试以时间上的间隔来重复地检查在机动车系统中是否存在如下干扰，该干扰可能损害到对安全功能的执行。在使用通信系统和控制单元的情况下，根据测试数据来确定用于在损害安全功能之前识别出干扰的可靠性值。

从de102017202347a1公知如下方法，利用该方法，可以依据在两个控制设备之间的数据交换并依据通过第三个控制设备而对控制信号的改变来测试在车辆运行时的功能安全性。在这种情况下，在这些控制设备之间鉴于系统层面来对信号改变进行测试。

在ep2759939b1中说明了一种用于通过存储器操纵程序组件来操纵存储器访问的方法，该方法通过车辆中的控制设备单元的控制设备程序来执行。

技术实现要素：

应该利用本发明来提供一种用于为了测试集成的安全功能性而进行安全的信号操纵的方法，该方法适合于克服现有技术的缺点并且尤其是能够在基于软件的车辆组件中实现高效的、复杂的、灵活的并且成本低廉的信号操纵，而同时改善这些基于软件的车辆组件的功能安全性。

按照本发明的任务通过专利独立权利要求的主题来解决。优选的扩展方案是从属权利要求的主题。

本发明的第一方面涉及一种用于为了测试在机动车中的基于软件的机动车组件的集成的安全功能性而进行安全的信号操纵的方法，该方法具有在下文描述的方法步骤。

按照该方法，在第一步骤中，选择机动车的基于软件的组件，用于对该基于软件的组件所包括的安全功能的安全技术分析。机动车组件的安全功能通常是标准化的。在电的、电子的和可编程的机动车组件情况下，根据iso标准26262而区分出四种潜在危险asila至asild，其中为了控制这些机动车组件，应设置相对应的安全功能。安全功能为此监控由机动车生成的控制信号，该控制信号施加在基于软件的机动车组件的输入端上作为输入信号。因而，为了测试集成在机动车组件中的安全功能性，首先标识（identifizieren）所有相关的输入和输出信号。

接着，在第二步骤中，确定适当的测试信号。为此，之前所标识的输入信号以使得该输入信号可引起机动车组件的功能失效的方式来被修改。以这种方式，对在针对信号操纵的安全技术分析的准备阶段中已确定的所有信号来进行处理。

在第三步骤中，提供外部的信号操纵单元，用于对基于软件的机动车组件的安全功能的验证和生效测试。利用该外部的信号操纵单元来生成至少一个事先确定的测试信号并且提供所述至少一个事先确定的测试信号，用于馈入到所要测试的机动车组件中。通过针对所选择的机动车组件的安全功能的控制而与机动车无关地并且在不包括保存在机动车组件中的测试例行程序在内的情况下运行该外部的信号操纵单元，可以在根据iso标准26262的qm上下文中通过安全的信号操纵来进行集成的安全功能性的控制。也就是说，按照本发明的信号操纵不使用机动车组件的内部机制，而是通过适当的工具（例如具有软件的pc工具）在外部进行。

在以外部的信号操纵单元使用标准化xcp服务以用于信号操纵时，在协议中没有设置特殊的安全机制，因为这些服务尤其是为了开发功能原型的目的而设置。

在第四步骤中，中断该基于软件的机动车组件与机动车的连接并且建立与该外部的信号操纵单元的连接。为此，将由该外部的信号操纵单元生成的测试信号馈入到基于软件的机动车组件的输入端中，而不是由机动车生成的首先作为输入信号而施加的控制信号。

在第五步骤中，在基于软件的机动车组件的一个或多个输入端上执行对安全功能的验证和生效测试。对此，利用施加在输入端上的至少一个测试信号来运行所要测试的机动车组件并且由外部的信号操纵单元来检测相对应的由机动车组件生成的施加在输出端上的输出信号。如果在这种情况下出现的输出信号用信号传递了被测试的机动车组件的安全状态，则提供了对集成在机动车组件中的安全功能性的功能能力的证明。

通过在外部的信号操纵单元中并且因此在dut（deviceundertest（被测设备））之外进行对于信号操纵来说所需的计算，这些计算可能得出明显要更复杂的结果并且在设计上更灵活。

因为信号操纵并不处在系列产品（serienprodukt）中，所以该信号操纵也不能触发机动车中的错误行为；要通过信号操纵来检查的软件相应于系列软件。因而使得用于测试目的的特殊软件版本成为不必要。

在第六步骤中检查：利用在基于软件的机动车组件之外的外部的信号操纵单元来执行的验证和生效测试。为此，借助于由外部的信号操纵单元提供的第三测试信号来模拟机动车组件的输出信号，其中通过改变由机动车组件生成的输出信号来获得该第三测试信号。

因为通常在时间上在开发出在机动车组件中实现的功能之后进行测试过程，所以在创建和执行验证和生效测试期间常常发生在测试激发（testanregung）和分析（auswertung）中所需的适配。在外部激励（stimulation）的情况下，这些适配并不需要再次干预所要检查的功能。因此，避免了对功能的重新发布。

在第七步骤中，在第二方法步骤之后获得的测试信号被适配，以便确保机动车组件的可能尚未符合这些规定的输出行为。为此，外部的信号操纵单元的至少一个第一和第三测试信号鉴于相应的额定输出行为（ausgangssollverhalten）方面被修改。接着，利用被修改的测试信号重新执行验证和生效测试。这些步骤必要时不论多少次地一直被重复，直至机动车组件的相应的输出信号相应于分别预先给定的额定输出信号。

最后，在第八步骤中，激活所测试的机动车组件的经检查的安全功能。对此，中断外部的信号操纵单元与机动车组件的电连接并且通过该机动车组件的输入端或输出端来重新建立原来的与机动车的连接。

因此，按照本发明的方法适合于在所有控制设备项目中使用，而与对功能安全性的分级无关。

本发明的另一方面涉及一种用于按照本发明的方法为了测试集成的安全功能性而进行安全的信号操纵的系统。

该系统包括在机动车中根据iso标准26262的危险等级asila至asild的基于软件的机动车组件，该基于软件的机动车组件具有至少一个输入端和至少一个输出端。

此外，按照本发明的系统包括外部的信号操纵单元，用于在根据iso标准26262的qm上下文中对基于软件的机动车组件的安全功能的验证和生效测试。该外部的信号操纵单元实现：基于机动车的由运行引起地施加在机动车组件的一个或多个输入端上的控制信号来生成测试信号并且将输出测试信号提供给机动车组件。使用现有的软件解决方案就适合于此。

为此，该外部的信号操纵单元具有至少一个第一和第二状态切换开关，所述至少一个第一和第二状态切换开关分别实现在相应第一与第二开关位置之间的相互来回切换。

所述至少一个第一状态切换开关在其第一位置（erstestellung）构造用于建立在基于软件的机动车组件的输入端与外部的信号操纵单元之间的连接，而第二状态切换开关则在其第一位置设置用于建立在机动车组件的输出端与外部的信号操纵单元之间的连接。相应的连接包括在机动车组件的软件中的逻辑关联。

每个第一状态切换开关都在其第二位置构造用于建立在机动车组件的至少一个输入端与机动车之间的连接。第二状态切换开关在其第二位置被设置用于建立在机动车组件的输出端与机动车之间的连接。

借助于所述至少一个第一状态切换开关，该外部的信号操纵单元适合用于在基于软件的机动车组件的一个或多个输入端上提供所生成的测试信号。该外部的信号操纵单元还实现：在第二状态切换开关上或在机动车组件的输出端上提供所生成的测试信号。

该外部的信号操纵单元还包括存储器和控制器。该存储器实现：提供在对在机动车组件中所集成的安全功能性进行测试时生成的数据，用于通过控制器来进行分析（auswertung）。因此，该外部的信号操纵单元包括对于为了在基于软件的机动车组件之外并且与机动车无关地测试所述基于软件的机动车组件的集成的安全功能性而进行的安全的信号操纵来说所需的所有组件。

本发明的其它优选的设计方案从其余的、在从属权利要求中提到的特征中得到。

在按照本发明的方法的一个优选的设计方案中，在第五方法步骤中，在使用xcp-stim服务的情况下通过车辆总线或用于调试接口的适配器（pod，plug-on-device（插入式设备））依据时间同步的操纵来执行验证和生效测试。

对xcp-stim服务的使用实现：能够通过车辆总线或附加的硬件（插入式设备pod）来进行时间同步的操纵。通过经由pod来直接访问控制器，也能实现调节功能的微小的周期时间。此外，在多处理器架构情况下，还能单独地到达每个处理器（cpu）。

在多处理器架构中，当也已实现了同步测量时，于是自动地存在通过xcp的同步激励。作为针对利用多个处理器的面向安全的应用的基本前提条件，允许以同步测量为前提。

根据按照本发明的方法的另一优选的实施方式规定：该时间同步的操纵也被用于基于软件的机动车组件的安全功能的快速成型（rapidprototyping）。

在按照本发明的系统的一个优选的实施方式中规定：外部的信号操纵单元包括具有信号操纵软件的计算机。

只要在个别情况下不另作解释，本发明的在本申请中提到的不同的实施方式就能有利地来彼此结合。

附图说明

随后，在实施例中依据所属的附图进一步阐述本发明。其中：

图1示出了在按照本发明的用于为了测试集成的安全功能性而进行安全的信号操纵的方法中的方法步骤的示意图；

图2示出了根据图1的方法的用于为了测试集成的安全功能性而进行安全的信号操纵的系统；

图3示出了在根据图2的按照本发明的系统的一个优选的实施方式中用于为了测试在qm上下文2中的机动车组件12的集成的安全功能性而进行安全的信号操纵的外部的信号操纵单元21的各个组件的协作。

具体实施方式

图1以示意图示出了按照本发明的用于为了测试集成的安全功能性而进行安全的信号操纵的方法的各个步骤。

在第一方法步骤100中，选择在利用根据iso标准26262的危险等级asild所评价的、基于软件的机动车组件12的第一输入端121上的输入信号v'，用于对机动车组件12的安全功能的安全技术分析。在这种情况下，第一输入信号v'相应于由机动车11生成的第一控制信号v。

在第二步骤200中，确定第一测试信号w1。对此，第一输入信号v'被改变，使得该第一输入信号可能在机动车组件12中触发功能失效。

在第三方法步骤300中，提供外部的信号操纵单元21，其中外部的信号操纵单元适合于为了在根据iso标准26262的qm上下文2中对机动车组件12的安全功能的验证和生效测试的目的而提供在第二方法步骤中确定的第一测试信号w1。

为了在第四方法步骤400中将该第一测试信号w1而不是第一输入信号v'馈入到机动车组件12的输入端121中，中断机动车组件12与机动车11的连接并且作为替代建立相对应的与信号操纵单元21的连接。

在第五方法步骤500中，在使用标准化xcp服务的情况下借助于第一测试信号w1来执行对机动车组件12的安全功能的验证和生效测试。同时，利用外部的信号操纵单元21来检测由此得到的在机动车组件12的输出端122上的输出信号f'。

紧接着，在第六方法步骤600中，利用在机动车组件12之外的外部的信号操纵单元21来检查在验证和生效测试时获得的结果是否符合这些规定或以何种程度而符合这些规定。对此，通过外部的信号操纵单元21的第三测试信号w3来模拟机动车组件的输出信号。

当输出行为（ausgangverhalten）与相应的额定输出行为的所确定出的偏差的情况下，在第七方法步骤700中，利用外部的信号操纵单元21来修改（modifizieren）第一和第三测试信号w1、w3。利用这些被修改的测试信号w1、w3来重复第五和第六方法步骤500、600。在此在机动车组件12的输出端上出现的输出信号f'与额定输出信号f的比较又给出了关于集成在机动车组件12中的安全功能性的有效性的情报（auskunft）。该第七方法步骤700利用分别被修改的测试信号w1、w3来一直重复，直至确定（feststehen）安全功能性的有效性为止。

如果情况如此，则在第八方法步骤800中激活经检查的安全功能。对此，在信号操纵单元21与机动车组件12之间的电连接被中断并且在机动车11与机动车组件12之间的连接分别经由该机动车组件的输入端121和输出端122来重新建立。

在图2中示出了用于应用按照本发明的用于为了测试集成的安全功能性而进行安全的信号操纵的方法的系统。该系统由机动车11、所要测试的机动车组件12和外部的信号操纵单元21构成。根据iso标准26262的规定，对于具有机动车组件12的机动车11的风险考虑（risikobetrachtung）来说，应假定asil-d上下文1，而对于包括机动车组件12和外部的信号操纵单元21的测试环境来说则应假定qm上下文2。

图3示出了按照本发明的在具有所要测试的机动车组件12的qm上下文2中的测试环境。在这种情况下，qm上下文2形成具有自己的存储器的受保护区域，其中，该存储器由外部的信号操纵单元21所包括。在这种情况下，通过两个第一状态切换开关211和第二状态切换开关212来表示该外部的信号操纵单元，所述第一状态切换开关用于经由输入端121来将第一和第二测试信号w1、w2馈入到机动车组件12中，所述第二状态切换开关用于提供第三测试信号w3作为机动车组件12的输出信号。

每个状态切换开关211、212都构造用于分别借助于状态切换信号s1、s2、s3来进行在第一与第二位置（stellung）之间的相互来回切换。

两个第一状态切换开关211分别处在第一位置中并且在该第一位置中将机动车11的第一和第二控制信号v、x作为第一和第二输入信号v'、x'馈入到机动车组件12的两个输入端121中。由外部的信号操纵单元21提供的第一和第二测试信号w1、w2在第一或第二状态切换开关211、212上备用，以用于替选地馈入到机动车组件12的两个第一输入端121中。第二状态切换开关212同样处在其第一位置中并且在该第一位置中将机动车组件12的输出端122与机动车11连接。因此，机动车组件12以其在机动车11中的正常运行状态来示出。

因此，每个状态切换开关211、212都可以分别借助于状态控制信号s1、s2、s3到达其第二位置，使得每个由外部的信号操纵单元21提供的测试信号w1、w2、w3都可以在qm上下文2中被输送给机动车组件12的两个输入端121之一或输出端122，以用于为了测试集成在机动车组件12中的安全功能性而进行安全的信号操纵。

该测试环境还能够有利地实现：设置安全措施。这样，信号激活可以借助于状态控制信号s1、s2、s3分别通过定时器来在时间上受限制。所要操纵的信号也需要明确的激活。根据对内存上下文（memorycontext）的考虑并且根据对于每个上下文来说都定义自己的xcp事件而得到其它安全措施。类似于机动车组件的安全架构，避免了对软件的在确定的测试步骤中未被检查的区域的交叉影响（querbeeinflussung）。最后，可以附加地使用安全机制、诸如签名。

附图标记列表

1asil-d上下文（iso标准26262）

11机动车

12机动车组件/dut（被测设备（deviceundertest））/功能

121输入端

122输出端

2qm上下文（iso标准26262）

21外部的信号操纵单元

211第一状态切换开关

212第二状态切换开关

100第一方法步骤

200第二方法步骤

300第三方法步骤

400第四方法步骤

500第五方法步骤

600第六方法步骤

700第七方法步骤

800第八方法步骤

f额定输出信号

f'输出信号

s1第一状态控制信号

s2第二状态控制信号

s3第三状态控制信号

v第一控制信号

v'第一输入信号

w1第一测试信号

w2第二测试信号

w3第三测试信号

x第二控制信号

x'第二输入信号